Google et Microsoft a commencé aujourd’hui à avertir les utilisateurs des attaques de phishing actives contre les propriétés en ligne de Google. Les deux sociétés ont déclaré que les attaques résultaient d’un certificat numérique frauduleux émis par erreur par un registraire de domaine turc.
Dans un article de blog publié aujourd’hui, Google a déclaré que le 24 décembre 2012, son Chrome Le navigateur Web a détecté et bloqué un certificat numérique non autorisé pour le domaine « *.google.com ».
« Nous avons immédiatement enquêté et découvert que le certificat avait été délivré par un autorité de certification intermédiaire (CA) lien vers TURKTRUSTune autorité de certification turque », a écrit Adam Langley, un ingénieur logiciel de Google. « Les certificats d’autorité de certification intermédiaires portent la pleine autorité de l’autorité de certification, de sorte que quiconque en possède un peut l’utiliser pour créer un certificat pour n’importe quel site Web dont il souhaite se faire passer. »
Langley a déclaré que Google a répondu par Chrome le 25 décembre pour bloquer cette autorité de certification intermédiaire, puis a alerté TURKTRUST et d’autres fournisseurs de navigateurs. « TURKTRUST nous a dit que, sur la base de nos informations, ils ont découvert qu’en août 2011, ils avaient délivré par erreur deux certificats CA intermédiaires à des organisations qui auraient dû recevoir à la place des certificats SSL réguliers. Le 26 décembre, nous avons poussé une autre mise à jour des métadonnées Chrome pour bloquer le deuxième certificat CA erroné et avons informé les autres fournisseurs de navigateurs.
Par ailleurs, Microsoft a publié un avis avec un peu plus de détails, indiquant qu’il est au courant d’attaques actives utilisant l’un des certificats numériques frauduleux émis par TURKTRUST Inc.
«Ce certificat frauduleux pourrait être utilisé pour usurper du contenu, effectuer des attaques de phishing ou effectuer des attaques de type man-in-the-middle. Ce problème affecte toutes les versions prises en charge de Microsoft Windows », a averti le géant du logiciel.
Selon Microsoft, TURKTRUST Inc. a incorrectement créé deux CA subsidiaires (*.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org). L’autorité de certification de la filiale *.EGO.GOV.TR a ensuite été utilisée pour délivrer un certificat numérique frauduleux à *.google.com. Ce certificat frauduleux pourrait être utilisé pour usurper du contenu, effectuer des attaques de phishing ou effectuer attaques de l’homme du milieu contre plusieurs propriétés Web de Google. [link added]
Il n’est pas encore clair s’il s’agissait d’une attaque contre des résidents turcs ou si les cibles étaient géographiquement plus répandues. Le domaine mentionné par Microsoft dans son avis — kktcmerkezbankasi.org — ne se résout pas pour le moment. Mais selon une capture d’écran de la page d’accueil du domaine prise par Domaintools.com le 14 mars 2012 (voir image ci-dessus), le site se présentait comme le Banque centrale de la République turque de Chypre du Nord (TRNC), une institution financière établie dans le nord de Chypre en 1983.
Dans tous les cas, des compromis comme celui-ci peuvent entraîner des failles de sécurité colossales. Un attaquant disposant de la capacité de signature de l’autorité de certification peut signer des certificats pour pratiquement n’importe quel domaine. L’incident de TURKTRUST rappelle un autre compromis similaire qui s’est produit à peu près au même moment. En septembre 2011, l’autorité de certification néerlandaise Diginote appris qu’une faille de sécurité au sein de l’entreprise avait entraîné la délivrance frauduleuse de certificats. UNE enquête de suivi a suggéré que l’attaquant qui a pénétré l’autorité de certification néerlandaise DigiNotar l’année dernière avait le contrôle total des huit serveurs d’émission de certificats de l’entreprise pendant l’opération et qu’il a peut-être également émis des certificats escrocs qui n’ont pas encore été identifiés. Diginotar a ensuite déclaré faillite.
Microsoft a publié une mise à jour qui corrige cette faiblesse et supprime les certificats frauduleux de la liste des certificats de confiance dans Windows. Selon Microsoft, la mise à jour devrait être automatiquement déployée sur les utilisateurs de Windows 8, Windows RT, Windows Server 2012 et les appareils exécutant Windows Phone 8. Un programme de mise à jour automatique des certificats révoqués est disponible pour Windows Vista, Windows Server 2008, Windows 7 et Windows. Serveur 2008 R2, à partir de ce lien. Les clients Windows XP et Windows Server 2003 peuvent récupérer la mise à jour via Microsoft Update (il n’est pas immédiatement clair dans l’avis de Microsoft si les utilisateurs d’autres versions de Windows peuvent également obtenir la mise à jour à partir de Microsoft Update).
Mise à jour, 15 h 57 HE :Une version précédente de cette histoire désignait à tort TURKTRUST comme une institution dirigée par le gouvernement turc. La copie ci-dessus a été corrigée.
Mise à jour, 16 h 16 HE : Créateur de navigateur Firefox MozillaComment vient de publier un article de blog notant que lui aussi révoquait les certificats frauduleux.